Forums Últimos mensajes - Powered by IBM
 

[Info] ¿Cómo puedo ver el estado de las delegaciones de permisos en Directorio Activo?

28/12/2004 - 15:33 por Javier Inglés [MS MVP] | Informe spam
http://www.microsoft.com/spain/tech...efault.asp

¿Cómo puedo ver el estado de las delegaciones de permisos en Directorio
Activo?

R: Windows Server 2003 y Windows 2000 Server le proporcionan útiles
asistentes para la delegación de permisos a usuarios en Directorio Activo.
Sin embargo, ningún asistente le permite ver las delegaciones existentes.
Para hacerlo, usted debe ver manualmente la configuración de seguridad
aplicada a los contenedores y objetos.

Microsoft ha lanzado recientemente una herramienta que le ayuda a ver las
delegaciones de permisos existentes. Puede descargar la herramienta, llamada
Dsrevoke en el sitio Web de Microsoft. Dsrevoke le informa de los permisos
establecidos para un dominio y/o para las unidades organizativas (UOs) y le
permite eliminar permisos. Por ejemplo, este comando de muestra comprueba
los permisos del grupo HelpDesk en el dominio de ejemplo y especifica la OU
Testing en el dominio demo.test:

dsrevoke /report /root:ou=testing,dc=demo,dc=test demo\helpdesk
El comando muestra estos mensajes en pantalla:

ACE #1 Object: OU=testing,DC=demo,DC=test
Security Principal: DEMO\HelpDesk

Permisos:
READ PROPERTY
WRITE PROPERTY
ACE Type: ALLOW

ACE no se aplica a este objeto
ACE heredada por todos los objetos secundarios de clase Usuario

ACE #2 Object: OU=testing,DC=demo,DC=test
Security Principal: DEMO\HelpDesk

Permisos:
EXTENDED ACCESS
ACE Type: ALLOW

ACE no se aplica a este objeto
ACE heredada por todos los objetos secundarios de clase Usuario

# of ACEs for demo\helpdesk=2

Puede ver en los resultados devueltos que el grupo HelpDesk tiene varias
entradas de control de acceso (ACEs) para la OU Testing; sin embargo, la
información devuelta no especifica los permisos exactos del grupo HelpDesk.
Para determinar esta información, primero debe activar la vista Avanzada en
el complemento Usuarios y Equipos de Directorio Activo en la Consola de
Administración de Microsoft (MMC). Después, en la página Propiedades del
contenedor, seleccione la pestaña Seguridad y haga clic en el botón
Avanzadas. Para ver los permisos de un grupo, seleccione la pestaña
Permisos, seleccione el grupo y haga clic en Editar, como muestra la Figura.
En este ejemplo, el grupo HelpDesk tiene permiso para reiniciar contraseñas
y para forzar el cambio de una contraseña. Dsrevoke es lo más eficaz cuando
se ha definido la delegación mediante roles; es decir, colocando los
usuarios en grupos y dando permisos a los grupos en un dominio o UO en vez
de a cada objeto individual.

Este consejo de Windows se lo ofrece Windows IT Pro, anteriormente llamada
Windows & .NET Magazine, la mejor publicación técnica para los profesionales
TI, llena de estrategias técnicas, trucos y soluciones. Haga clic aquí para
suscribirse con una tarifa especial
http://www.winnetmag.com/sub.cfm?code=fsue20xxtn



Salu2!!!
Javier Inglés
MS MVP, Windows Server-Directory Services
http://mvp.support.microsoft.com/default.aspx

e-m@il:jingles@NOSPAMmvps.org
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho
 

Leer las respuestas

#1 Marc [MVP Windows]
28/12/2004 - 15:40 | Informe spam
Qñao, ve viene que ni pintado. Gracias :-))


Saludos,

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

"Javier Inglés [MS MVP]" escribió en el mensaje news:
http://www.microsoft.com/spain/tech...efault.asp

¿Cómo puedo ver el estado de las delegaciones de permisos en Directorio
Activo?

R: Windows Server 2003 y Windows 2000 Server le proporcionan útiles
asistentes para la delegación de permisos a usuarios en Directorio Activo.
Sin embargo, ningún asistente le permite ver las delegaciones existentes.
Para hacerlo, usted debe ver manualmente la configuración de seguridad
aplicada a los contenedores y objetos.

Microsoft ha lanzado recientemente una herramienta que le ayuda a ver las
delegaciones de permisos existentes. Puede descargar la herramienta, llamada
Dsrevoke en el sitio Web de Microsoft. Dsrevoke le informa de los permisos
establecidos para un dominio y/o para las unidades organizativas (UOs) y le
permite eliminar permisos. Por ejemplo, este comando de muestra comprueba
los permisos del grupo HelpDesk en el dominio de ejemplo y especifica la OU
Testing en el dominio demo.test:

dsrevoke /report /root:ou=testing,dc=demo,dc=test demo\helpdesk
El comando muestra estos mensajes en pantalla:

ACE #1 Object: OU=testing,DC=demo,DC=test
Security Principal: DEMO\HelpDesk

Permisos:
READ PROPERTY
WRITE PROPERTY
ACE Type: ALLOW

ACE no se aplica a este objeto
ACE heredada por todos los objetos secundarios de clase Usuario

ACE #2 Object: OU=testing,DC=demo,DC=test
Security Principal: DEMO\HelpDesk

Permisos:
EXTENDED ACCESS
ACE Type: ALLOW

ACE no se aplica a este objeto
ACE heredada por todos los objetos secundarios de clase Usuario

# of ACEs for demo\helpdesk=2

Puede ver en los resultados devueltos que el grupo HelpDesk tiene varias
entradas de control de acceso (ACEs) para la OU Testing; sin embargo, la
información devuelta no especifica los permisos exactos del grupo HelpDesk.
Para determinar esta información, primero debe activar la vista Avanzada en
el complemento Usuarios y Equipos de Directorio Activo en la Consola de
Administración de Microsoft (MMC). Después, en la página Propiedades del
contenedor, seleccione la pestaña Seguridad y haga clic en el botón
Avanzadas. Para ver los permisos de un grupo, seleccione la pestaña
Permisos, seleccione el grupo y haga clic en Editar, como muestra la Figura.
En este ejemplo, el grupo HelpDesk tiene permiso para reiniciar contraseñas
y para forzar el cambio de una contraseña. Dsrevoke es lo más eficaz cuando
se ha definido la delegación mediante roles; es decir, colocando los
usuarios en grupos y dando permisos a los grupos en un dominio o UO en vez
de a cada objeto individual.

Este consejo de Windows se lo ofrece Windows IT Pro, anteriormente llamada
Windows & .NET Magazine, la mejor publicación técnica para los profesionales
TI, llena de estrategias técnicas, trucos y soluciones. Haga clic aquí para
suscribirse con una tarifa especial
http://www.winnetmag.com/sub.cfm?code=fsue20xxtn



Salu2!!!
Javier Inglés
MS MVP, Windows Server-Directory Services
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


Preguntas similares